Делать мне больше нечего:) Ваш лично 20-символьный пароль никому нафиг не сдался. Проблема в том, что речь идёт не о конкретно Вашей безопасности (естественно, Вы можете хоть 1024-символьный придумать и быть спокойным за свою безопасность), а о безопасности с точки зрения владельца сайта, у которого толпы юзеров с гораздо более простыми паролями.
Абсолютное большинство паролей обычных пользователей — а) короткие и б) простые. Примеров в сети масса, если вдруг не верите. И задача состоит в защите именно таких паролей.
1. Ваш внутренний md5 ничего к безопасности не добавляет, его спокойно можно выкинуть.
2. Коллизии тут тем более не причём — найденная коллизия для md5(pass + salt) никак не поможет найти pass (который и надо передавать на сервер).
РЕАЛЬНАЯ проблема этой схемы — это перебор. Да, соль исключает использование таблиц, но md5 прекрасно оптимизируется для GPU и при известной соли найти pass _перебором_ за разумное время — вполне решаемая задача.
По сути ваше решение — это полный перебор индекса. Да, с битовыми масками и с ассемблерной проверкой условия это может быть (и есть) крайне быстрым на современных процессорах. Но всё-таки, если возникает желание поднять производительность — почему не попробовать обратные индексы?
С других телефонов я проверить не могу. Но, вероятно, надо объяснить ещё раз, в чём именно состоит проблема.
Доменный адрес сайта (который виден в адресной строке браузера) — это имя сайта, которое однозначно его определяет. По адресу djamaattakbir.com может быть только этот, экстремистский, сайт, и никакой другой (на самом деле, это упрощение но в нашем случае это так). Закрыв доступ к этому домену (!) вы закрываете доступ к сайту и без специального использования обходных путей его просмотр будет невозможен.
IP-адрес — это другое. Это адрес машины (сервера), который отдаёт данные этого сайта. Да, ОБЫЧНО, один сайт обслуживает один сервер. Но в нашем случае сайт находится в большой блог-сети blogger.com, технически он является блогом. Blogger.com — очень большая сеть, там работают множество серверов и они используют много IP-адресов, причём (что важно!) в каждый момент времени данные того или иного блога может отдавать любой из доступных серверов через любой из доступных IP-адресов.
На момент проведения экспертизы (или что там было в процессе суда) по этому сайту, его контент отдавал сервер с адресом 216.239.32.21. Именно этот адрес и был зафиксирован в решении. Уже через минуту он мог смениться на любой другой из адресов, принадлежащих гуглу — так работает распределение нагрузки в подобных проектах. То есть, адрес 216.239.32.21 не закреплён за конкретным сайтом/блогом, он всё время обслуживает разные ресурсы, и только по случайности (и неграмотности) именно он был был зафиксирован в решении суда.
Таким образом, блокировка только этого IP приводит к тому, что а) сам экстремистский сайт виден как ни в чём не бывало, поскольку вероятность того, что в данный момент его будет обслуживать именно этот сервер, невелика; и б) время от времени совершенно невинные блоги с blogger.com становятся надоступными только потому что в данный момент имеют этот IP.
Уф. Надеюсь, понятно объяснил:) Суть в том, что в данном случае чтобы закрыть доступ к сайту, надо банить его именно по доменному имени, djamaattakbir.com. Бан по IP не приводит к закорытию доступа к сайту, но создаёт проблемы с просмотром множества других, совершенно нормальных, ресурсов.
Я пользователь Билайна. Я сейчас через Билайн-интернет прекрасным образом открываю сайт www.djamaattakbir.com/, хотя этот домен явно указан в списке как экстремистский. Следовательно, Билайн не выполнил решение Нальчикского суда и продолжает предоставлять доступ к экстремистским материалам. Я правильно излагаю?
У вас было несколько вариантов действий: 1. забанить домен — тогда сайт стал бы недоступен и суть предписания была бы выполнена; 2. забанить и домен и IP — тогда и суть _буква_ предписания была бы выполнена; 3. забанить только IP — наиболее бессмысленный вариант, нарушающий и суть и букву решения суда. И вы почему-то выбрали именно дурацкий третий вариант: НЕ закрыли доступ к экстремистским материалам, зато забанили здоровенный кусок интернета.
Как вы думаете, когда контролирующий орган обнаружит, что через сеть Билайна экстремистский ресурс доступен как ни в чём не бывало, что он станет делать?
А такие предписания вообще бывают? И на основании чего они выносятся? Суд-то свою работу сделал, IP вписан в минъюстовский бан-лист. Кто инициирует процесс разблокировки IP?
Плохой алгоритм. Для начала, вообще не опредены критерии дубликатов. Что ищем-то — просто похожие, полное совпадение?
Ну и — неустойчивость. Достаточно соседним пикселям быть почти одинаковыми, но так чтобы в одной картинке левый был чуть ярче, а в другой — чуть темнее, и мы получим разные хэши при визуально почти одинаковых картинках.
> Кликаем по ссылке, попадаем в какой-то внутренний орган jQuery — скорее всего в ЖКТ. В некоторых случаях этот способ эффективен, и мы сразу можем увидеть вызываемый код. Но только не в этом. Как из этого места добраться до искомого кода — честно говоря, не знаю.
Всё довольно просто на самом деле. Включаем pretty print (для удобства) и кликаем на F11 (step into next function call), пока не выйдем из jquery и не попадём в вызванный им обработчик.
Взять эти _хэши_ да просолить. То есть вообще никаких проблем…
Абсолютное большинство паролей обычных пользователей — а) короткие и б) простые. Примеров в сети масса, если вдруг не верите. И задача состоит в защите именно таких паролей.
2. Коллизии тут тем более не причём — найденная коллизия для md5(pass + salt) никак не поможет найти pass (который и надо передавать на сервер).
РЕАЛЬНАЯ проблема этой схемы — это перебор. Да, соль исключает использование таблиц, но md5 прекрасно оптимизируется для GPU и при известной соли найти pass _перебором_ за разумное время — вполне решаемая задача.
Доменный адрес сайта (который виден в адресной строке браузера) — это имя сайта, которое однозначно его определяет. По адресу djamaattakbir.com может быть только этот, экстремистский, сайт, и никакой другой (на самом деле, это упрощение но в нашем случае это так). Закрыв доступ к этому домену (!) вы закрываете доступ к сайту и без специального использования обходных путей его просмотр будет невозможен.
IP-адрес — это другое. Это адрес машины (сервера), который отдаёт данные этого сайта. Да, ОБЫЧНО, один сайт обслуживает один сервер. Но в нашем случае сайт находится в большой блог-сети blogger.com, технически он является блогом. Blogger.com — очень большая сеть, там работают множество серверов и они используют много IP-адресов, причём (что важно!) в каждый момент времени данные того или иного блога может отдавать любой из доступных серверов через любой из доступных IP-адресов.
На момент проведения экспертизы (или что там было в процессе суда) по этому сайту, его контент отдавал сервер с адресом 216.239.32.21. Именно этот адрес и был зафиксирован в решении. Уже через минуту он мог смениться на любой другой из адресов, принадлежащих гуглу — так работает распределение нагрузки в подобных проектах. То есть, адрес 216.239.32.21 не закреплён за конкретным сайтом/блогом, он всё время обслуживает разные ресурсы, и только по случайности (и неграмотности) именно он был был зафиксирован в решении суда.
Таким образом, блокировка только этого IP приводит к тому, что а) сам экстремистский сайт виден как ни в чём не бывало, поскольку вероятность того, что в данный момент его будет обслуживать именно этот сервер, невелика; и б) время от времени совершенно невинные блоги с blogger.com становятся надоступными только потому что в данный момент имеют этот IP.
Уф. Надеюсь, понятно объяснил:) Суть в том, что в данном случае чтобы закрыть доступ к сайту, надо банить его именно по доменному имени, djamaattakbir.com. Бан по IP не приводит к закорытию доступа к сайту, но создаёт проблемы с просмотром множества других, совершенно нормальных, ресурсов.
У вас было несколько вариантов действий: 1. забанить домен — тогда сайт стал бы недоступен и суть предписания была бы выполнена; 2. забанить и домен и IP — тогда и суть _буква_ предписания была бы выполнена; 3. забанить только IP — наиболее бессмысленный вариант, нарушающий и суть и букву решения суда. И вы почему-то выбрали именно дурацкий третий вариант: НЕ закрыли доступ к экстремистским материалам, зато забанили здоровенный кусок интернета.
Как вы думаете, когда контролирующий орган обнаружит, что через сеть Билайна экстремистский ресурс доступен как ни в чём не бывало, что он станет делать?
А такие предписания вообще бывают? И на основании чего они выносятся? Суд-то свою работу сделал, IP вписан в минъюстовский бан-лист. Кто инициирует процесс разблокировки IP?
Ну и — неустойчивость. Достаточно соседним пикселям быть почти одинаковыми, но так чтобы в одной картинке левый был чуть ярче, а в другой — чуть темнее, и мы получим разные хэши при визуально почти одинаковых картинках.
Всё довольно просто на самом деле. Включаем pretty print (для удобства) и кликаем на F11 (step into next function call), пока не выйдем из jquery и не попадём в вызванный им обработчик.
Потому что это абсолютно никого не интересует.